Konfiguracja cross-certyfikatu na serwerze IIS 7.5
Transkrypt
Konfiguracja cross-certyfikatu na serwerze IIS 7.5
Instrukcja użytkownika Konfiguracja cross certyfikatu Certum CA – Certum Trusted Network CA Na serwerze IIS 7.5 (Windows Serwer 2008 R2) Wersja 1.0 Szczecin dnia 28.08.2013 www.certum.pl | Spis treści 1. Wstęp..................................................................................................................................... 3 2. Instalacja certyfikatu na serwerze ......................................................................................... 4 2.1. Instalacja cross - certyfikatu .................................................................................................. 4 2.2. Wyłączenie certyfikatu Certum Trusted Network CA ............................................................ 7 2.3. Konfiguracja serwera IIS ....................................................................................................... 9 2.4. Sprawdzenie poprawności instalacji ...................................................................................... 9 Wszelkie informacje (materiały tekstowe, zdjęcia, grafiki) stanowią własność intelektualną i są chronione przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2006 r. Nr 90, poz. 631, ze zm.) oraz pozostałymi przepisami dotyczącymi ochrony własności intelektualnej. Z zastrzeżeniem wyjątków przewidzianych przez powszechnie obowiązujące przepisy, ich kopiowanie lub inne wykorzystywanie, w szczególności dla celów komercyjnych, a także dystrybucja, modyfikacja oraz publikacja bez uprzedniej pisemnej zgody Unizeto Technologies S.A. jest zabronione. Niektóre materiały zdjęciowe, graficzne są własnością podmiotów trzecich i chronione są prawami autorskimi należącymi do tych podmiotów. 2|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. 1. Wstęp Wszystkie certyfikaty SSL EV wydawane przez Unizeto Technologies S.A. są wydawane w nowej ścieżce certyfikacji pod nowym rootem Certum Trusted Network CA. Taki stan rzeczy powoduje, że niektóre starsze urządzenia i przeglądarki nie rozpoznają takiego certyfikatu jako zaufany. Problem dotyczy między innymi urządzeń Android w wersji starszej niż 4.x. Aby rozwiązać ten problem został wydany specjalny cross – certyfikat, który pozwala na złączenie starej ścieżki certyfikacji z nową. Instalacje tego cross – certyfikatu na serwerze rozwiązuje ten problem i pozwala na prawidłową obsługę certyfikatu jako zaufany. W zależności od stosowanego serwera www, różne są procedury instalacji cross – certyfikatu. Niniejszy dokument opisuje jak wykonać taki proces na serwerze IIS. Do stworzenia niniejszej instrukcji wykorzystano IIS 7.5 na serwerze Windows Server 2008 R2, ale przedstawione tu kroki powinny zadziałać z każdą wersją serwera IIS. 3|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. 2. Instalacja certyfikatu na serwerze Niniejsza instrukcja NIE opisuje instalacji certyfikatu serwera oraz certyfikatu pośredniego. Aby certyfikat SSL EV był prawidłowo rozpoznawany, konieczna jest: Instalacja cross – certyfikatu Wyłączenie lub usunięcie certyfikatu Certum Trusted Network CA na serwerze 2.1. Instalacja cross - certyfikatu Cross certyfikat, o którym jest mowa w niniejszym rozdziale jest do pobrania pod adresem: http://repository.certum.pl/certumca-ctnca.cer Pierwszym krokiem jest uruchomienie konsoli mmc i wybranie File -> Add/Remove Snap-in: 4|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. Nastęnie z lewej kolumny należy wybrać Certificates i kliknąć Add Pojawi się okno, w którym należy wybrać magazyn komputera Computer Account i kliknąć Next, a następnie Finish. Na koniec należy zamknąć okno dodawania przystawek przyciskiem OK: 5|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. Należy wejść w Intermediate Certification Authorities -> Certificates i po kliknięciu prawym przyciskiem myszy wybrać All Tasks -> Import… Pojawi się kreator dodawania certyfikatu, gdzie należy wskazać plik certumca-ctnca.cer. Po jego dodaniu w głównym ok nie konsoli mmc pojawi się nowy wpis: Na tym kończy się proces dodania cross – certyfikatu. Należy pozostać w konsoli mmc i wykonać kolejny krok wyłączenia certyfikatu Certum Trusted Network CA. 6|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. 2.2. Wyłączenie certyfikatu Certum Trusted Network CA Będąc dalej w konsoli mmc należy wejść w Trusted Root Certification Authorities -> Certificates. Następnie na liście certyfikatów należy znaleźć taki, który w polu Issued to ma wpisane Certum Trusted Network CA, kliknąć na na nim prawym przyciskiem myszy i wybrać Properties: W oknie, które się pojawi należy wybrać Disable all purposes for this certificate i potwierdzić przez OK: 7|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. Po tym zabiegu jeżeli wejdziemy w Personal -> Certificates i wybierzemy nasz certyfikat SSL EV (dwa razy na nim klikniemy), pojawią się szczegóły certyfikatu, które zakładce Certification Path powinien mieć taki widok: Domyślny widok, baz wykonania operacji z tego punktu wygląda tak: 8|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone. 2.3. Konfiguracja serwera IIS Po wykonaniu powyższych wskazówek może być konieczność restartu serwera. Podczas pisania tej instrukcji restart serwera nie pomógł, pomogła natomiast zmiana Windingów dla protokołu https, a mianowicie został wybrany inny certyfikat uruchomiony serwer po czym ponownie certyfikat SSL EV. Dopiero po takich zabiegach serwer przedstawiał się prawidłową ścieżką certyfikacji. 2.4. Sprawdzenie poprawności instalacji Do sprawdzenia poprawności instalacji certyfikatu można wykorzystać narzędzie OpenSSL i polecenie: openssl s_client –connect <adres_strony>:443 W sekcji certificate chain powinny być 3 wpisy (numerowane od 0 do 2): --Certificate chain 0 s:/C=PL/O=Unizeto Technologies S.A./OU=OPR/L=Szczecin/ST=zachodniopomorskie/street=ul. Kr\xC3\xB3lowej Korony Polskiej 21/postalCode=70-486/1.3.6.1.4.1.311.6 0.2.1.3=PL/1.3.6.1.4.1.311.60.2.1.1=Szczecin/1.3.6.1.4.1.311.60.2.1.2=zacho dniopomorskie/serialNumber=0000233499/businessCategory=Private Organization/CN=testevmpro.unizeto.pl i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Extended Validation CA 1 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Extended Validation CA i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA 2 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA i:/C=PL/O=Unizeto Sp. z o.o./CN=Certum CA --- 9|Strona Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.